基于PC運(yùn)行環(huán)境的機(jī)器學(xué)習(xí)病毒檢測(cè)方法

肖行

摘要：隨著物聯(lián)網(wǎng)、云計(jì)算、大數(shù)據(jù)、智能手機(jī)的普及，數(shù)以億計(jì)的各種不同類(lèi)型的設(shè)備，所產(chǎn)生的海量數(shù)據(jù)，對(duì)網(wǎng)絡(luò)安全的難度提高了幾個(gè)數(shù)量級(jí)。傳統(tǒng)的安全解決方案耗時(shí)耗力，也滿足不了對(duì)未知病毒，安全漏洞的預(yù)測(cè)。本文通過(guò)分析電腦軟件和硬件的運(yùn)行環(huán)境，來(lái)預(yù)測(cè)計(jì)算機(jī)在抵御計(jì)算機(jī)病毒的能力，可作為現(xiàn)有計(jì)算機(jī)病毒檢測(cè)良好的補(bǔ)充。

關(guān)鍵詞：網(wǎng)絡(luò);安全;病毒檢測(cè);軟件;硬件;運(yùn)行環(huán)境

中圖分類(lèi)號(hào)：R373 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1007-9416（2019）03-0201-01

隨著近年來(lái)網(wǎng)絡(luò)安全事件頻發(fā)，網(wǎng)絡(luò)安全形勢(shì)日益嚴(yán)峻，國(guó)家政治安全和用戶信息遭到威脅，網(wǎng)絡(luò)安全越來(lái)越值得我們重視。本文試圖從網(wǎng)絡(luò)病毒檢測(cè)方向出發(fā)，探討怎樣更好保護(hù)地網(wǎng)絡(luò)安全。

1 傳統(tǒng)病毒檢測(cè)方法分析

現(xiàn)在的病毒檢測(cè)方法，主要是通過(guò)對(duì)目前已經(jīng)發(fā)現(xiàn)，并且大規(guī)模爆發(fā)的病毒，進(jìn)行手動(dòng)提取病毒的特征。

特征代碼分析方法，主要通過(guò)采集已知病毒樣本，分析是否含有病毒代碼病毒數(shù)據(jù)庫(kù)，這是目前最有效最簡(jiǎn)單的檢測(cè)方法。但是這樣的方法缺點(diǎn)也是顯而易見(jiàn)，之前分析的匹配的病毒代碼，到病毒下一次感染或者爆發(fā)就會(huì)出現(xiàn)新的變種，導(dǎo)致傳統(tǒng)方法不能匹配。

校驗(yàn)法通過(guò)檢驗(yàn)算法可以用來(lái)檢測(cè)已知病毒，也可以用來(lái)檢測(cè)未知病毒，但是他不能識(shí)別病毒名稱類(lèi)型，也不能檢測(cè)不依附于其他文件的病毒。

行為監(jiān)測(cè)法主要是對(duì)現(xiàn)有的病毒，通過(guò)收集資料研究看考拷證，總結(jié)病毒的共同現(xiàn)象行為。這種方法一般能較好的發(fā)現(xiàn)未知病毒，但是有可能誤報(bào)。

上面列出了傳統(tǒng)方法在病毒檢測(cè)的三種主要手段，可以看出，這里主要是對(duì)現(xiàn)有病毒進(jìn)行分析，再提取對(duì)應(yīng)的病毒特征，亦或?qū)φＮ募M(jìn)行分析，反之則判斷為有病毒的文件。

2 本文方法闡述

由于個(gè)人計(jì)算機(jī)的普及面極為廣泛，計(jì)算機(jī)硬件的發(fā)展也是日新月異，安照摩爾定律硬件幾乎在半年就會(huì)更新一代，這樣就造就了個(gè)人計(jì)算機(jī)的千差萬(wàn)別，操作系統(tǒng)等軟件更是迥然相異，這就使得計(jì)算機(jī)病毒在不同硬件和軟件環(huán)境有可能出現(xiàn)不同行為特征，這對(duì)病毒檢測(cè)無(wú)疑是一種災(zāi)難。

3 本文方法實(shí)驗(yàn)

3.1 數(shù)據(jù)采集

本文提出一種基于對(duì)計(jì)算機(jī)現(xiàn)有的軟件和硬件運(yùn)行環(huán)境，從而判斷計(jì)算機(jī)是否容易感染或者已經(jīng)感染病毒。所收集的數(shù)據(jù)特征包括計(jì)算機(jī)硬件BIOS信息，硬盤(pán)大小，內(nèi)存大小，屏幕尺寸，操作系統(tǒng)版本，是否安裝了殺毒軟件，殺毒軟件版本，IP信息，PC購(gòu)買(mǎi)日期，是否已經(jīng)中病毒等特征。數(shù)據(jù)來(lái)源主要收集于本人所在工作單位的2000臺(tái)左右的PC，通過(guò)相關(guān)管理軟件以及PC上鎖安裝的殺毒軟件所收集的信息。

3.2 數(shù)據(jù)預(yù)處理

數(shù)據(jù)的預(yù)處理主要包括把IP轉(zhuǎn)換成地理位置，增加每個(gè)數(shù)據(jù)的缺失率，把string類(lèi)型的數(shù)據(jù)轉(zhuǎn)換成float或者int類(lèi)型，增加時(shí)間戳。

把IP轉(zhuǎn)換成地址位置信息，主要考慮到病毒一般在同一網(wǎng)段或者臨近的PC進(jìn)行傳播，如果有一臺(tái)PC已經(jīng)中病毒了，附近PC中病毒的可能性較高，所以把IP轉(zhuǎn)換成位置信息有助于最終的病毒檢測(cè)。轉(zhuǎn)換方法為把核心交換機(jī)定義成距離中心，通過(guò)IP接入的交換機(jī)到中心的拓?fù)湮恢玫腅uclidean距離作為轉(zhuǎn)換結(jié)果。

LEuclidean=

由于收集的數(shù)據(jù)中必然有缺失，考慮到缺失一些不重要的特征，對(duì)最終特征也沒(méi)有不好的影響，所以直接剔除也不是一種好的方法。共有ftotal個(gè)特征，如果其中一臺(tái)PC只收集到fcollected個(gè)特征，那么缺失率為：

fmissing=

在算法當(dāng)中，string類(lèi)型的數(shù)據(jù)是不能直接處理，一般都要轉(zhuǎn)換為數(shù)值類(lèi)型的數(shù)據(jù)，這里采用的轉(zhuǎn)化方法為pandas的factorize方法，就是把所有類(lèi)型進(jìn)行排序，再把string特征所在的排序號(hào)作為特征。

fstring，_=pd.factorize（fstring）

時(shí)間戳在病毒檢測(cè)中非常的重要，表現(xiàn)在2個(gè)方法，首先殺毒軟件不同版本殺毒效果是不同的，高版本也不一定好;其次，病毒的爆發(fā)一般存在與時(shí)間的相關(guān)性，比如某一時(shí)間熊貓燒香病毒大量爆發(fā)，而近段時(shí)間勒索病毒的大量爆發(fā)，都是與時(shí)間戳存在一定關(guān)聯(lián)的，所以把殺毒軟件的版本這一特征，轉(zhuǎn)化為時(shí)間序列特征是有必要的。

3.3 實(shí)驗(yàn)結(jié)果與分析

本文采用目前機(jī)器學(xué)習(xí)較為流行的集成學(xué)習(xí)方法，包括陳天奇的XGboost，微軟的LightGBM，以及Yandex的CATboost。這三種boosting算法主要思路都是集成弱分類(lèi)器為強(qiáng)分類(lèi)器，其中在細(xì)節(jié)上各有差異，所以在最終訓(xùn)練結(jié)果也會(huì)有些差別。實(shí)驗(yàn)所采用的平臺(tái)為Windows 7 8G內(nèi)存，I5 7500 4核，Anaconda Jupyer Notebook，python 3.5的版本。XGboost，LightGBM和CATboost均為python版本。

實(shí)驗(yàn)預(yù)測(cè)結(jié)果對(duì)比如圖1。

從圖1可以看出這三種算法的實(shí)驗(yàn)結(jié)果差別并不大，都是在70%左右。因此可以證明通過(guò)收集計(jì)算機(jī)的硬件和軟件運(yùn)行環(huán)境，來(lái)檢測(cè)計(jì)算機(jī)是否容易中病毒，這種方法是行之有效的。即本文提出的病毒檢測(cè)方法在算法的適用性上是沒(méi)有區(qū)分的，也可以間接說(shuō)明本文方法獨(dú)立于傳統(tǒng)病毒檢測(cè)方法，不是排斥的關(guān)系，而是可以相互補(bǔ)充，共同提升病毒檢測(cè)率。

4 展望

本文提出了一種基于PC運(yùn)行環(huán)境的機(jī)器學(xué)習(xí)病毒檢測(cè)新方法，可以作為傳統(tǒng)病毒檢測(cè)方法一種強(qiáng)有力的補(bǔ)充。優(yōu)勢(shì)主要表現(xiàn)在：第一，手段多樣化，傳統(tǒng)方法主要是通過(guò)分析病毒特征，而本文通過(guò)PC軟硬件運(yùn)行環(huán)境進(jìn)檢測(cè)，繞過(guò)了分析病毒的繁瑣過(guò)程。第二，檢測(cè)結(jié)果具有通用性，不單只是對(duì)一種或者幾種病毒，而是對(duì)所有符合PC運(yùn)行環(huán)境的病毒都能檢測(cè)的到。當(dāng)然缺點(diǎn)也是顯而易見(jiàn)的，70%的檢測(cè)結(jié)果還是大有提升空間，而且也存在誤報(bào)率較高的現(xiàn)象，因此今后的主要工作可以從這兩個(gè)方面入手，進(jìn)一步提高本方法的實(shí)用性。

參考文獻(xiàn)

[1] 張勇，張衛(wèi)民，歐慶于.基于主動(dòng)學(xué)習(xí)的計(jì)算機(jī)病毒檢測(cè)方法研究[J].計(jì)算機(jī)與數(shù)字工程，2011，39（11）：89-105.

[2] Chen T，Guestrin C.XGBoost： A Scalable Tree Boosting System[J].2016.

[3] Prokhorenkova L， Gusev G， Vorobev A， et al. CatBoost： unbiased boosting with categorical features[J].2017.

Machine Learning Virus Detection Based on PC Environment

XIAO Hang

（Guangzhou No.1 People's Hospital，Guangzhou Guangdong? 510180）

Abstract：With the popularity of IOT， cloud computing， big data and smart phones， massive data were produced by millions of devices， the difficulty of network security has increased by several orders of magnitude. Traditional security solutions are time-consuming and labor-intensive，and cannot meet the prediction of unknown viruses and security vulnerabilities.By analyzing the running environment of computer software and hardware，we propose a method to predict the ability of computer virus detection， which is a complement to the existing computer virus detection.

Key words：network;security;virus detection;software;hardware